【警示】2021 等保处罚十大经典案例
案例一 泸州某医院不履行网络安全保护义务案
简要案情: 2021年6月,泸州某医院遭受网络攻击,造成全院系统瘫痪。泸州公安机关迅速调集技术力量赶赴现场,指导相关单位开展事件调查和应急处置工作。经调查发现,该医院未制定内部安全管理制度和操作流程,未确定网络安全负责人,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,导致被黑客攻击造成系统瘫痪。泸州公安机关根据《中华人民共和国网络安全法》第二十一条和五十九条之规定,对该院处以责令改正并警告的行政处罚。
案件警示: 部分单位在信息化建设和应用中,存在“重应用,轻防护”的思想,对网络安全工作不重视、安全防护意识淡薄,未严格按照法律要求履行网络安全主体责任,存在较大安全隐患和漏洞被黑客利用进行攻击,导致部分信息系统或数据遭到破坏。公安机关通过开展“一案双查”,对于相关单位未履行安全管理义务情况开展调查并给予行政处罚,倒逼单位主动整改,切实履行网络安全保护义务。
案例二 广安某单位不履行网络保护义务案
简要案情: 2021年2月,广安某单位所使用的智慧政务一体化平台被黑客攻击植入木马病毒,导致系统文件被加密勒索,广安公安机关立即以破坏计算机信息系统立案侦查。通过一案双查发现,该单位未制定内部安全管理制度和操作规程,未采取防范计算机病毒的技术措施,未对重要数据备份和加密,未履行网络安全保护义务。广安公安机关根据《中华人民共和国网络安全法》第二十一条和第五十九条之规定,对该单位作出罚款一万元、对单位具体责任人赵某作出罚款五千元的行政处罚。
案件警示: 网络运营单位因未落实网络安全防护措施造成勒索病毒攻击破坏,不但要承担勒索病毒带来的损失,还要受到法律的惩处。
案例三 凉山某单位未履行安全保护义务案
简要案情: 近日,凉山公安机关接到报案称,辖区某学校
60余名学生中考志愿被他人篡改。经连夜侦查发现,系因某单位网站密码安全等级低,存在网络漏洞,被一升学无望心生报复的不法分子恶意攻击篡改。凉山公安机关根据《中华人民共和国网络安全法》第六十四条之规定,对该单位作出行政警告处罚,并责令限期整改。
案件警示: 网络运营单位不履行相关安全管理义务,极易为不法分子违法犯罪活动滋生蔓延提供“土壤”和“空间”,造成严重危害后果。任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。
案例四 广元某企业不履行个人信息保护义务案
简要案情: 2021年7月,广元公安机关在工作中发现某企业未按约加强对签约代理商的安全培训和日常监管,未采取必要的监管和技术措施保护公民个人信息,致使签约代理商员工利用职务之便,在为客户办理手机号开卡及其他通讯业务时,违规向他人提供客户手机号码和短信验证码,恶意注册、出售网络账号,并非法获利,造成公民个人信息严重受损,该企业涉嫌不履行个人信息保护义务。广元公安机关根据《中华人民共和国网络安全法》第二十二条、第四十一条和第四十六条之规定,对该企业处行政警告处罚,对该企业签约代理商员工李某某、违法行为人赵某某、罗某某、舒某某分别立为刑事案件和行政案件进行侦查和查处。截至目前,全市共开展行政查处24人,刑事查处4人,收缴涉案号卡3100个,涉案码数3000条,涉及金额20余万元。
案件警示: 企业在开展业务过程中获取并留存大量公民个人信息,安全保护措施的落实情况直接关系到公民个人信息安全,企业对数据信息保护措施落实不到位,责任领导和工作人员漠视管理制度,造成危害后果必将受到法律严惩。
案例五 成都某公司不履行网络信息安全管理义务案
简要案情: 2021年4月,成都公安机关对辖区某公司开展网络安全监督检查时,发现该公司上架购买的版权歌曲,未对歌曲内容进行审核,未及时删除违法有害信息,造成违法有害信息在互联网上传播,该公司在实际工作中未履行网络信息安全管理义务。成都公安机关根据《中华人民共和国网络安全法》第四十七条和第六十四条之规定,对该公司作出罚款50万元的行政处罚。
案件警示: 网络运营者应当加强对其用户发布信息的管理,发现法律、行政法规禁止发布或者传输的信息,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关部门报告。
案例六 南充某物业公司未落实安全技术保护措施案
简要案情: 2021年2月,南充公安机关执法检查发现辖区某物业公司安装人脸识别门禁系统,先后收集业主姓名、身份证号码、住址门牌和人脸识别照片等个人信息共计6000余条,该物业公司采集公民个人信息未落实安全技术保护措施,存储公民个人信息电脑未指定专人保管负责,且存在登录密码保存可直接点击登录等网络安全管理漏洞和个人信息泄漏风险。南充公安机关根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定,对该物业公司给予警告的行政处罚。
案件警示: 收集公民个人信息,必须事先取得当事人同意,没有提示风险,在未征得居民同意情况下收集人脸识别等个人信息数据,属于非法获取,涉嫌“侵犯公民个人信息罪”。同时,企业应兼顾效益与安全,采取技术措施和其他必要措施,确保其收集的个人信息数据安全。
案例七 绵阳某单位不履行网络安全保护义务案
简要案情: 2021年3月,绵阳市民姜某某在访问浏览绵阳一网站时发现一则刷单广告,其按照广告内容下载使用APP聊天软件后,被刷单诈骗3万余元。绵阳公安机关在侦办此案时调查发现,受害人访问的网站为绵阳市某单位开办,该网站长期存在大量高危漏洞,前期公安机关已检查通报督促其限期整改,但该单位仍未引起高度重视,未及时维护处置安全隐患,导致网站被不法分子非法入侵,篡改挂载大量诈骗、赌博、色情广告暗链。绵阳公安机关根据《中华人民共和国网络安全法》第二十五条、第五十九条之规定,对该单位处以10000元人民币的罚款,并对该单位法人代表李某某处以个人罚款5000元人民币的罚款。
案件警示: 部分单位不重视网络安全,未履行法律、行政法规规定的信息网络安全管理义务,日常疏于对单位网络的安全管理和巡查防护,对通报的网络安全隐患不重视,整改不积极,经监管部门责令改正而仍未整改彻底,导致出现严重安全后果,应当承担法律责任。
案例八 自贡某公司涉嫌非法获取个人信息案
简要案情: 2021年5月,自贡公安机关工作发现,辖区某公司片区负责人经公司同意后,以7000元的价格非法购买公民个人信息14000余条,后分发给公司工作人员,使用非法获取的公民个人信息开展招生工作,涉嫌非法获取个人信息。自贡公安机关根据《中华人民共和国网络安全法》第四十四条、六十八条之规定,对该公司作出罚款三十万元的行政处罚。
案件警示: 企业在经营过程中应当坚守法律底线,不得非法获取、非法提供和非法使用公民个人信息。除法律另有规定或者权利人明确同意外,任何组织或者个人不得以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。个人信息遭到泄露,相关权利人可以通过行政、民事、刑事手段保护自身合法权益。
案例九 成都某公司不履行网络信息安全管理义务案
简要案情: 2021年6月,成都公安机关检查发现,辖区某公司APP聊天工具,未对群聊内容、图片、语音进行严格审核,未及时删除违法有害信息,造成大量网络黑灰产信息在群聊里发布,该公司在实际工作中未履行网络信息安全管理义务。成都公安机关根据《中华人民共和国网络安全法》第四十七条、第六十四条之规定,对该公司作出罚款10万元、对公司技术负责人作出罚款1万元的行政处罚。
案件警示: 网络运营者对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录,在开展业务过程中对相关内容审核措施落实不到位,造成大量违法有害信息在互联网上传播的严重后果,线下极易引起现实危害,最终将受到法律严惩。
案例十 广安某单位被网络攻击篡改案
简要案情: 2021年3月,广安某单位互联网门户网站被攻击篡改,广安公安机关第一时间督促采取应急处置措施,并立案对该单位遭受攻击事件开展调查,通过工作发现,该单位信息系统未按规定设立防火墙,未安装网络流量监测软件,未记录网站访问日志,未采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施,网站建设完成至今,未更新安全策略、未落实等级测评等安全防护措施。 广安公安机关根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定对负有主体责任的该单位作出罚款1万元,对直接责任人作出罚款5千元的行政处罚; 对托管单位某公司作出罚款1万元、对直接责任人作出罚款5千元的行政处罚。
案件警示: 关键信息基础设施运营者未履行法定网络安全保护义务,未按照国家网络安全等级保护制度要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,导致危害网络安全等后果,将追究其法律责任。
